/**
 * Copyright (c) 2016-2019 人人开源 All rights reserved.
 *
 * https://www.renren.io
 *
 * 版权所有，侵权必究！
 */

package com.gulimall.common.xss;

import com.baomidou.mybatisplus.core.toolkit.StringUtils;
import com.gulimall.common.exception.RRException;

/**
 * SQL过滤
 *
 * @author Mark
 */
public class SQLFilter {

    /**
     * SQL注入过滤
     * @param str  待验证的字符串
     */
    public static String sqlInject(String str){
        if (StringUtils.isBlank(str)) {
            return null;
        }

        // 去掉 ' " ; \ 字符（使用 String.replace，非正则）
        // 注意：在 Java 字符串字面量中，反斜杠需要写成 "\\"
        str = str.replace("'", "");
        str = str.replace("\"", "");
        str = str.replace(";", "");
        str = str.replace("\\", "");

        // 转换成小写
        str = str.toLowerCase();

        // 非法关键字
        String[] keywords = {
                "master", "truncate", "insert", "select", "delete", "update", "declare", "alter", "drop"
        };

        // 判断是否包含非法关键字
        for (String keyword : keywords) {
            if (str.indexOf(keyword) != -1) {
                throw new RRException("包含非法字符");
            }
        }

        return str;
    }
}
